涉及数据安全保护的系统建设管理制度
1.信息系统设计前应由国家认定的具有风险评估资质的机构进行风险评估,根据风险评估的结果进行系统的设计。
2.信息系统的安全防护设计应随系统设计、建设和开发一起同步进行。
3.信息系统的边界将根据系统的实际连接情况进行,包括网络互联、信息系统的互联等,严格按照等级防护的要求进行设计和风险评估。
4.系统建设方案应当委托相关专业机构或者组织专家进行论证和评审,并报局信息安全领导小组进行审批,系统建设中形成相关的技术文件应当保存,以备核查。
1.安全产品在系统方案设计中要经过详细的安全和技术论证,确保满足系统的安全要求。
2安全产品应满足国家有关的规定。
3.安全产品必须有公安部、密码局或者保密局的许可。
1. 原则上不自行软件开发,以免与现有软件存在不兼容等问题。
2.因工作需要,必须自行开发软件时,开发环境要同实际运行的环境物理隔离。
3.自行软件开发时,应当进行详细的系统设计,针对开发的过程要制定合理的控制方法,并且明确开发人员的职责,严格进行编码、系统测试、功能测试的过程,可参照CMM3级以上的要求进行。
4.自行软件开发时,软件的开发文档、过程文档、原代码、测试代码等要由专人保管,方便以后的软件维护、升级等工作。
1.以委托外包的形式进行软件开发时,注意软件开发过程的连续性,一般情况下,原来系统在进行功能性增加的情况下应由原来的软件公司进行。
2.外包的软件,在开发后需要严格按照CMM3级以上的要求进行代码的质量测试,同时提供相关软件设计的各种设计文件和使用指南。
3.外包的软件,应在开发设计完成后选择第三方软件测试方进行软件包中的原代码检测,主要检测包括恶意代码、缺陷代码、功能逻辑错误、后门等方面,只有在检测验收合格后方可并网上线试运行。
4.软件外包方应具备CMM3以上的认证资质。
5.软件外包方应具备相关行业的软件开发经验。
6.软件外包方应具备安全系统设计的能力和经验。
1.应邀请具有相关监理资质的单位负责工程监理工作,协助全面的施工管理。
2.工程施工要由监理单位、施工组织单位和施工方制定详细的工程施工方案,在完全可控、可监督的环境下进行。
3.工程实施质量控制按一下步骤进行:
(1)审查进入施工现场的分包单位的资质证明文件,控制分包单位的质量。
(2)审批施工承包单位的开工申请书,检查、核实与控制其施工准备工作质量。
(3)审批施工单位提交的方式方案、施工组织设计或施工计划。
(4)审批施工承包单位提交的有关材料、半成品和构配件质量证明文件(出厂合格证、质量检验或试验报告等)。
(5)审核施工单位提交的反映工序施工质量的动态统计资料或管理图表。
(6)审核施工单位提交的有关工序产品质量的证明文件(检验记录及试验报告)、工序交接检查(自检)、隐蔽工程检查、分部分项工程检查报告等文件、资料。
(7)审批有关设计变更、修改设计图纸等。
(8)审核有关应用新技术、新工艺、新材料、新结构等的技术鉴定书,审批其应用申请报告。
(9)审批有关工程质量缺陷或质量事故的处理报告。
1.指定专门的部门或人员负责项目的测试、验收工作。
2.测试验收前应制订测试验收方案,并组织相关人员对其进行评审和论证,确保测试验收方案的可实行性和规范性。
3.测试验收前应制定错误恢复方案及应急方案,包括自动化程序失效时的手工替代方法。
4.测试验收负责部门应要求厂商提供相应培训及过程文档,并妥善保存。
5.验收标准应科学准确,应严格按照测试验收方案进行,以保证测试验收的效果。
6.测试验收中产生的信息和结果应采取保密措施加以管理,防止信息泄露。
1.工程监理、工程施工方要制定系统的交付清单,省局要根据交付清单对所交接的设备、软件和文档等进行详细的清点,包括设备的详细配置。
2.系统验收后,割接上线前要由系统开发方、施工方等对系统运行维护人员进行技能培训和产品使用维护培训,并提供相应的过程文档和系统维护文档。
1.信息系统建设时,系统设备、软件开发服务商应符合国家的有关规定,具有满足要求的相应资质。
2.选定的安全服务商,应具备系统连续升级(包括漏洞扫描系统库的升级、防病毒库的升级和更新等)的能力。
3. 信息系统建设时,应与安全服务商签订服务合同,约定相关的技术支持等详细条款,明确相关的责任和义务,确保系统安全可控可靠运行
